.    
Mimecast Logo
Obtenir un devis

    Guide DKIM, SPF et DMARC

    Mettez en œuvre DKIM, SPF et DMARC pour protéger les utilisateurs contre la fraude par courrier électronique et les cybermenaces.
    Essai gratuit de DMARC
    DKIM, SPF & Guide DMARC
    Essai gratuit de DMARC
    Points clés

    Ce que vous apprendrez dans cet article

    Comprenez l'importance de la formation à la sensibilisation à la sécurité et comment l'approche globale de Mimecast permet de réduire les risques des utilisateurs face aux cyber-menaces :

    • Les formations de sensibilisation à la sécurité permettent aux employés de reconnaître et d'atténuer les cyberrisques, ce qui favorise une culture de la vigilance et de la résilience.
    • Il minimise l'erreur humaine, réduit les brèches et protège les données et les actifs sensibles.
    • La plateforme de formation à la sensibilisation à la sécurité de Mimecast offre un contenu attrayant, une administration facile et une formation personnalisée adaptée aux besoins de l'organisation.

    Que sont SPF, DKIM et DMARC ?

    Le courrier électronique reste l'outil de communication numéro un à l'échelle mondiale, les organisations s'y fiant fortement malgré la popularité croissante des messageries instantanées et d'autres outils de communication. Cependant, si le courrier électronique est familier à presque tous les utilisateurs d'Internet, la manière dont il protège les expéditeurs et les destinataires des attaques de phishing, du spam et d'autres types de fraude par courrier électronique est moins bien connue.

    DKIM (DomainKeys Identified Mail), SPF (Sender Policy Framework) et DMARC (Domain-based Message Authentication, Reporting, and Conformance) sont trois technologies couramment utilisées par les fournisseurs d'accès à Internet (FAI) pour protéger les utilisateurs contre les cybermenaces et la fraude par courrier électronique, en améliorant la légitimité des courriers électroniques livrés et en réduisant le risque d'interférence en transit.

    Dans ce guide, nous examinons plus en détail DKIM, SPF et DMARC, nous étudions les différences entre DMARC, DKIM et SPF, nous expliquons pourquoi elles sont importantes et nous fournissons des informations sur la manière de configurer correctement chacune de ces technologies vitales. Lisez la suite pour en savoir plus et découvrez comment l'authentification des courriels protège vos données en coulisses. 

    Qu'est-ce que l'authentification par courrier électronique ?

    L'authentification du courrier électronique est généralement réalisée à l'aide de techniques cryptographiques, telles que les signatures numériques et le cryptage, afin de vérifier l'identité de l'expéditeur et de protéger le contenu du message contre la falsification. Ce processus implique l'utilisation de plusieurs technologies, notamment DKIM, SPF et DMARC, qui fonctionnent ensemble pour fournir un système complet d'authentification du courrier électronique.

    Lorsqu'un message électronique est authentifié, le destinataire a la certitude qu'il s'agit d'un message légitime et non d'un spam ou d'un phishing. Il permet également d'éviter l'usurpation d'identité, lorsqu'un attaquant se fait passer pour un expéditeur de confiance, en s'assurant que le message provient du domaine ou de l'adresse IP déclarés.

    Les attaquants utilisent l'usurpation de domaine direct pour tromper vos clients et partenaires, mettant ainsi en péril la réputation de votre marque. Une visibilité et une gouvernance complètes sur tous les canaux de messagerie sont essentielles pour décourager la fraude et protéger votre marque.

    Apprenez à vous défendre contre l'usurpation d'identité →

    Pourquoi l'authentification du courrier électronique est-elle importante ?

    Avec l'évolution continue de la cybercriminalité et la multiplication des acteurs de la menace, l'authentification du courrier électronique est essentielle au programme de cybersécurité de toute organisation. Cependant, outre le haut niveau de protection offert par DKIM, DMARC et SPF, une mauvaise configuration peut avoir une incidence sur la capacité d'un utilisateur à envoyer et à recevoir du courrier électronique, entraînant des problèmes tels que le rejet ou l'interception de courriels par des parties non autorisées ou le marquage de courriels comme spam. Cela peut entraîner des ruptures de communication, la perte d'informations sensibles et une atteinte à la réputation des individus et des organisations.

    En outre, les exemples suivants, qui illustrent la manière dont l'authentification du courrier électronique assure la protection, sont extrêmement importants :

    • Prévenir les attaques de phishing - Les attaques de phishing sont un type courant de fraude par courrier électronique dans lequel un pirate se fait passer pour un expéditeur de confiance afin de tromper le destinataire et de lui faire révéler des informations sensibles. L'authentification des courriels peut contribuer à prévenir le phishing en vérifiant l'identité de l'expéditeur et en s'assurant que le message est légitime.
    • Protection de la réputation de la marque - L'authentification des courriels peut contribuer à protéger la réputation de la marque d'une organisation en empêchant les cybercriminels d'utiliser de fausses adresses électroniques ou de faux domaines pour envoyer des messages de spam ou de phishing qui nuisent à la réputation de l'organisation.
    • Renforcement de la sécurité du courrier électronique - L'authentification du courrier électronique contribue à renforcer la sécurité globale des communications par courrier électronique en empêchant l'accès non autorisé, la falsification et l'interception des messages électroniques.
    • Conformité aux réglementations - Certaines industries et juridictions ont des réglementations qui exigent la mise en œuvre de l'authentification du courrier électronique. Il est important de se conformer à ces réglementations pour éviter les sanctions et les conséquences juridiques.

    Mettre en œuvre DMARC pour prévenir la compromission des Business Email

    Obtenez dès maintenant notre guide DMARC essentiel pour protéger votre entreprise contre la compromission des courriels et renforcer la sécurité de vos courriels.

    Obtenir le rapport

    Types d'authentification du courrier électronique

    DKIM, SPF et DMARC contribuent chacun à une authentification efficace du courrier électronique, les trois technologies fonctionnant ensemble pour garantir que le courrier électronique est à la fois sûr et parfaitement transmissible. Ci-dessous, nous examinons SPF, DKIM et DMARC plus en détail :

    Qu'est-ce que DKIM ?

    DKIM (DomainKeys Identified Mail) est une technologie d'authentification du courrier électronique qui utilise des signatures cryptographiques pour vérifier l'authenticité des messages électroniques. Lorsqu'un message électronique est envoyé, DKIM ajoute une signature numérique à l'en-tête du message, que le serveur de messagerie du destinataire peut vérifier pour s'assurer que le message n'a pas été altéré en transit et qu'il provient bien du domaine de l'expéditeur déclaré.

    Qu'est-ce que le SPF ?

    SPF (Sender Policy Framework) est une technologie d'authentification du courrier électronique qui permet au propriétaire d'un domaine de spécifier les adresses IP autorisées à envoyer du courrier électronique au nom de ce domaine. Lorsqu'un message électronique est reçu, le serveur de messagerie du destinataire vérifie l'enregistrement SPF pour le domaine de l'expéditeur afin de s'assurer que le message provient d'une adresse IP autorisée. Si la vérification SPF échoue, le message peut être marqué comme spam ou rejeté.

    Qu'est-ce que DMARC ?

    DMARC (Domain-based Message Authentication, Reporting, and Conformance) est une technologie d'authentification du courrier électronique qui fournit des mécanismes de politique et de rapport pour DKIM et SPF. DMARC permet au propriétaire du domaine de spécifier comment les messages électroniques qui échouent aux contrôles DKIM et SPF doivent être traités, et il fournit un retour d'information sur les résultats de ces contrôles. "DMARC aide à prévenir l'usurpation d'identité et le phishing en garantissant que les messages électroniques ne sont acceptés que s'ils satisfont aux politiques d'authentification spécifiées par le propriétaire du domaine."

     

    Infographie expliquant les types d'authentification du courrier électronique : SPF, DMARC et DKIM

     

    Quelles sont les différences entre DKIM, SPF et DMARC ?

    Bien que DKIM, SPF et DMARC soient des technologies d'authentification du courrier électronique qui contribuent à prévenir la fraude et à améliorer la qualité du courrier électronique, elles diffèrent à plusieurs égards. Nous énumérons ici quelques-unes des principales différences entre DKIM, SPF et DMARC.

    DKIM

    • Utilise des signatures cryptographiques pour vérifier l'authenticité des messages électroniques.
    • Ajoute une signature numérique à l'en-tête du message que le serveur de messagerie du destinataire peut vérifier.
    • "Aide à prévenir l'usurpation d'identité et les attaques de phishing en garantissant que le message électronique n'a pas été altéré au cours de son acheminement."
    • Peut être utilisé pour vérifier l'intégrité du contenu du message et pour authentifier le domaine de l'expéditeur.

    SPF

    • Utilise les enregistrements DNS pour vérifier quelles adresses IP sont autorisées à envoyer des courriels au nom d'un domaine particulier.
    • "Aide à prévenir l'usurpation d'adresse électronique et les attaques par phishing en garantissant que le message électronique provient d'une adresse IP autorisée."
    • Permet d'éviter que les messages électroniques soient marqués comme spam ou rejetés par le serveur de messagerie du destinataire.

    DMARC

    • Fournit des mécanismes de politique et de rapport pour DKIM et SPF.
    • Permet de s'assurer que les messages électroniques ne sont acceptés que s'ils répondent aux règles d'authentification spécifiées par le propriétaire du domaine.
    • "Peut aider à prévenir l'usurpation d'adresse électronique et les attaques par phishing en fournissant un retour d'information sur les résultats des vérifications DKIM et SPF."

    "Le problème avec DMARC, c'est qu'il est souvent entouré d'un certain mystère, car peu de gens comprennent les technologies qui le sous-tendent." - Andrew Williams, directeur principal du marketing produit

    REGARDEZ : Témoignages de clients : Leçons apprises sur la voie de la conformité à la norme PCI DSS v4.0 →

    Où sont stockés les enregistrements SPF, DKIM et DMARC ?

    Les enregistrements SPF, DKIM et DMARC sont tous stockés dans le système de noms de domaine (DNS), qui sert d'annuaire Internet pour traduire les noms de domaine en adresses IP.

    Voici une ventilation des lieux où chaque type d'enregistrement est stocké -

    Enregistrements SPF (Sender Policy Framework)

    Stockés sous forme d'enregistrements DNS TXT, les enregistrements SPF précisent quelles adresses IP peuvent envoyer des courriers électroniques au nom d'un domaine. Le serveur de messagerie du destinataire vérifie ces enregistrements pour s'assurer de la légitimité de l'expéditeur.

    Enregistrements DKIM (DomainKeys Identified Mail)

    Les enregistrements DKIM, également stockés sous forme d'enregistrements DNS TXT, contiennent la clé publique utilisée pour vérifier la signature DKIM dans l'en-tête du courrier électronique. Cela permet de s'assurer que l'e-mail n'a pas été modifié et qu'il provient du domaine revendiqué.

    Enregistrements DMARC (Domain-based Message Authentication, Reporting & Conformance)

    Les enregistrements DMARC, stockés de la même manière que les enregistrements DNS TXT, définissent les politiques de traitement des courriers électroniques qui échouent aux contrôles SPF et DKIM. Ils précisent s'il faut rejeter, mettre en quarantaine ou surveiller ces courriels et fournissent des mécanismes de rapport pour les résultats de l'authentification.

    "En s'appuyant sur le DNS, ces enregistrements permettent aux serveurs de messagerie mondiaux de vérifier l'authenticité des courriers électroniques, ce qui les protège contre la fraude et le phishing."

     

    Guide Mimecast sur la configuration de DKIM, SPF et DMARC avec des icônes pour chacun et une capture d'écran montrant les options de configuration des enregistrements DNS.

     

    Comment configurer DKIM, SPF ou DMARC ?

    La mise en place de DKIM, SPF ou DMARC est un travail technique qu'il vaut mieux laisser aux experts. Cependant, il s'agit d'une étape cruciale pour garantir que vos courriels sont correctement authentifiés et délivrés aux destinataires prévus. Voici un aperçu général de la manière de configurer chaque méthode d'authentification afin de pouvoir effectuer un contrôle SPF, DMARC et DKIM sur votre courrier électronique.

    DKIM

    1. Générez une paire de clés publiques/privées pour votre domaine.
    2. Créez un enregistrement DNS TXT contenant la clé publique.
    3. Utilisez la clé privée pour ajouter une signature DKIM à vos messages électroniques.
    4. Configurez votre serveur de messagerie pour qu'il utilise DKIM afin de signer les messages sortants.

    SPF

    1. Créez un enregistrement DNS TXT pour votre domaine, listant les adresses IP autorisées à envoyer des e-mails en votre nom.
    2. Ajoutez le mécanisme "include" à votre enregistrement SPF si vous utilisez un service de messagerie tiers, tel que Mailchimp ou Gmail, pour envoyer des courriels en votre nom.
    3. Testez votre enregistrement SPF pour vous assurer qu'il est correctement configuré.
    4. Configurez votre serveur de messagerie pour qu'il utilise SPF afin de valider les messages électroniques entrants.

    DMARC

    1. Créez une stratégie DMARC pour votre domaine, en indiquant si vous devez rejeter, mettre en quarantaine ou surveiller les messages électroniques qui échouent aux contrôles d'authentification.
    2. Créez un enregistrement DNS TXT contenant votre politique DMARC pour votre domaine.
    3. Surveillez le trafic de votre courrier électronique afin d'identifier tout problème lié à votre système d'authentification.
    4. Configurez votre serveur de messagerie pour qu'il envoie les rapports DMARC à l'adresse e-mail spécifiée.

    Il est important de noter que les étapes spécifiques pour configurer DKIM, SPF et DMARC peuvent varier en fonction de votre fournisseur de services de messagerie et d'autres détails techniques. Il est recommandé de suivre les instructions détaillées fournies par votre fournisseur de messagerie ou de consulter un expert en sécurité de la messagerie pour vous assurer que votre configuration d'authentification est correcte.

    Comment vérifier si DKIM, SPF et DMARC sont configurés correctement ?

    Pour vérifier si un courrier électronique a passé les tests d'authentification SPF, DKIM et DMARC, vous devez rechercher quelques indicateurs clés :

    Vérifier le SPF (Sender Policy Framework) : Pour vous assurer que vos courriels passent ce contrôle d'authentification, vérifiez l'en-tête "Received-SPF". Si le résultat est "pass", vos messages ont passé l'authentification SPF.

    Vérifier le DKIM (DomainKeys Identified Mail) : Pour vérifier si DKIM passe, regardez l'en-tête "Authentication-Results" et recherchez DKIM. Si le DKIM est présent et réussi, cela sera indiqué dans l'en-tête.

    Vérifier DMARC (Domain-based Message Authentication, Reporting & Conformance) : Pour vérifier si DMARC passe, regardez l'en-tête "Authentication-Results" et recherchez les valeurs DKIM et SPF. Si DKIM et SPF sont tous deux présents et affichent "pass", votre courriel a passé l'authentification DMARC.

    Il est important de noter que les authentifications DKIM et SPF ne sont valables que pour la session de courrier électronique en cours, c'est pourquoi il est conseillé de vérifier régulièrement les authentifications DKIM et SPF. Si les tests d'authentification DKIM, SPF ou DMARC échouent, il se peut que vous deviez apporter des modifications à votre domaine pour que les courriels soient délivrés avec succès.

    Choisir la bonne solution pour vos communications électroniques professionnelles

    Lorsque vous choisissez la bonne solution pour vos business email, il est essentiel de prendre en compte plusieurs facteurs, tels que la taille de votre organisation, le niveau de sécurité dont vous avez besoin et la complexité de votre infrastructure de messagerie. Vous utiliserez probablement une combinaison de ces trois technologies ; cependant, nous examinons ci-dessous DKIM, SPF et DMARC afin que vous puissiez faire un choix éclairé.

    DKIM est utilisé par les organisations qui souhaitent authentifier l'intégrité de leurs messages électroniques et vérifier le domaine de l'expéditeur. Il peut être particulièrement utile pour les organisations qui envoient un grand nombre de courriels, comme les institutions financières ou les sites de commerce électronique, car il peut aider à prévenir les attaques par phishing et d'autres types de fraude par courriel.

    SPF permet aux organisations de vérifier que les messages électroniques proviennent d'une adresse IP autorisée. Il peut être avantageux pour les petites et moyennes entreprises qui ne disposent pas d'une infrastructure de messagerie électronique complexe, car il est relativement facile à configurer et à mettre en œuvre.

    DMARC est un bon choix pour les organisations qui souhaitent fournir des mécanismes de politique et de rapport pour DKIM et SPF. Il peut être particulièrement utile pour les grandes organisations qui veulent s'assurer que les messages électroniques sont traités de manière appropriée et qu'ils répondent à leurs politiques d'authentification.

    Seules 34% des 5000 plus grandes entreprises mondiales utilisent actuellement DMARC. Cela met en évidence un écart important dans l'adoption de DMARC au niveau mondial, ce qui indique que de nombreuses grandes organisations restent vulnérables aux menaces qui y sont liées.

    Sécurisez votre courrier électronique avec Mimecast DMARC Analyzer

    Il est plus important que jamais de protéger votre domaine contre l'usurpation d'adresse électronique et le phishing. La solution DMARC de Mimecast facilite la visibilité, l'authentification et l'arrêt des menaces avant qu'elles n'atteignent votre boîte de réception. Passez à l'étape suivante : découvrez dès aujourd'hui notre produit DMARC et préservez la réputation et la sécurité de votre organisation.

    Découvrez DMARC Analyzer

    FAQ DKIM, SPF, DMARC

    Non, DMARC (Domain-based Message Authentication, Reporting & Conformance) n'exige pas que SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) soient tous deux acceptés. DMARC permet aux propriétaires de domaines de spécifier comment les courriels qui échouent aux contrôles SPF et/ou DKIM doivent être traités. Cela signifie que pour qu'un courriel soit accepté par DMARC, il suffit qu'il passe l'un des contrôles d'authentification sous-jacents - SPF ou DKIM - tant qu'il correspond au domaine figurant dans l'en-tête "From".


    SPF et DKIM servent tous deux à authentifier les courriers électroniques, mais DMARC offre l'avantage supplémentaire de l'alignement. Lorsqu'un courrier électronique est accepté par SPF ou DKIM et qu'il correspond au domaine spécifié dans l'en-tête "From", il peut être accepté par DMARC. Cela permet aux propriétaires de domaines d'appliquer leurs politiques d'authentification du courrier électronique de manière plus souple et plus efficace.

    Oui, DKIM (DomainKeys Identified Mail) peut fonctionner sans DMARC (Domain-based Message Authentication, Reporting & Conformance). DKIM est une technologie d'authentification du courrier électronique qui ajoute une signature cryptographique à l'en-tête du courrier électronique. Cette signature peut être vérifiée par le serveur de messagerie du destinataire afin de s'assurer que le message n'a pas été altéré et qu'il provient bien du domaine de l'expéditeur déclaré.


    Bien que DKIM puisse fonctionner indépendamment pour vérifier l'intégrité d'un courrier électronique, il est souvent utilisé en conjonction avec DMARC pour fournir une solution d'authentification de courrier électronique plus complète. DMARC s'appuie sur DKIM et SPF (Sender Policy Framework) en spécifiant comment traiter les courriels qui échouent à ces contrôles et en fournissant des mécanismes de signalement. Toutefois, même sans DMARC, DKIM peut à lui seul renforcer considérablement la sécurité des messages électroniques en empêchant l'usurpation d'identité et en garantissant l'authenticité des messages électroniques.

    Oui, DMARC (Domain-based Message Authentication, Reporting & Conformance) peut être accepté avec seulement SPF (Sender Policy Framework). Pour qu'un courriel soit accepté par DMARC à l'aide de SPF, il doit passer avec succès le contrôle SPF et le domaine figurant dans l'en-tête "Return-Path" doit correspondre au domaine figurant dans l'en-tête "From". Si ces conditions sont remplies, le courrier électronique peut passer DMARC même s'il ne comporte pas de signature DKIM valide.


    DMARC offre aux propriétaires de domaines la possibilité d'appliquer leurs politiques d'authentification du courrier électronique en utilisant SPF ou DKIM. "Cela signifie qu'un courrier électronique peut passer DMARC s'il répond aux critères d'alignement et d'authentification spécifiés par le propriétaire du domaine, ce qui fait de DMARC un outil puissant dans la lutte contre la fraude par courrier électronique et les attaques de phishing."

    Ressources connexes sur DKIM, SPF et DMARC

    Resources_46.jpg
    Email & Collaboration Threat Protection

    Gartner® Magic Quadrant™ pour la sécurité du courrier électronique

    Analyst Report
    Resources_40.jpg
    Email & Collaboration Threat Protection

    Email Security: Mimecast & Microsoft

    Whitepaper
    Resources_04.jpg
    Email & Collaboration Threat Protection

    The Cost and Risk of Email Attacks: Mimecast vs. Competition

    Infographic
    Haut de la page